S.W.F.S.

5팀 이은경 문제 풀이 HxD로 열어보면 굉장히 짧은 내용이 들어있는데 flag와 관련되어 보이는 무언가가 있음을 확인할 수 있다. 여기서 주목할 건 1F 8B 08인데 이는 GZ 파일의 시그니처이다. 따라서 파일 확장자를 GZ로 바꾼 후 리눅스에서 gunzip 명령어로 압축을 해제하였다. 압축을 해제한 파일 내부에는 flag.txt 파일이 있었고, 위와 같이 플래그가 적혀 있었다. 정답

5팀 이은경 문제 풀이 리눅스에서 unrar를 사용해 압축을 풀면 아래와 같은 파일 2개가 추출된다. unrar x forensics.rar ALYSSA의 계정이 힌트로 주어졌으니 해당 계정의 비밀번호를 찾으면 될 것 같다. SAM은 로컬 계정 정보와 그룹 정보가 들어있고, SYSTEM에는 시스템 부팅에 필요한 시스템 전역 구성 정보가 들어 있다. SAM을 보면 그만 알아보자 SAM과 SYSTEM 파일에서 로컬 계정의 패스워드를 추출할 수 있는 방법을 검색해 보았다. Getting Local User Password Hashes from SAM and SYSTEM Files - Cain&Abel Tool In the Windows operating system, local accounts authenti..

3팀 김주미 문제 화면이다. http://goo.gl/2Tig1v 에 비밀번호를 저장해놓았다고 해서 해당 링크를 타고 들어가면 다음과 같이 압축 파일을 다운받을 수 있게 된다. 압축 파일의 내용은 다음과 같다. FLAG IS 다음으로 이어질 db 파일을 해석하면 패스워드가 나올 것이다. 그런데 압축을 해제한 폴더에서는 db 파일이 보이지 않았다... Thumbs.db 파일이란? 탐색기나 폴더에서 이미지 파일 등을 미리보기 할 경우 자동으로 만들어지는 데이터베이스 파일이다. 어떻게 보면 그다지 중요하지 않을수 있는 파일이지만, 사생활 노출이 될 가능성도 있는 파일이다. 그 이유는 원본 이미지 파일을 지우더라도 Thumbs.db 파일은 원본과는 상관없이 존재하기 때문에, 비록 작은 해상도이지만 원본 파일의 ..

6팀 최민영 문제에서는 PDF 파일 암호를 잊어버렸다며 PDF 파일을 첨부하고 있었습니다. 이 PDF를 열어볼려고 시도하니 암호가 걸려있다며 비밀번호를 입력하라는 메시지 창이 뜹니다. 하지만 저는 이 암호를 모르니 암호를 알아내는 방법을 써보겠습니다. 저는 pdfcrack을 썼는데, PDF 암호에 무차별 대입을 통해 비밀 번호를 알아낼 수도 있으며, 옵션을 통해 좀 더 편히 암호를 알아낼 수 있는 리눅스 환경에서의 도구 입니다! 저는 -w라는 옵션을 통해 비밀번호을 알아내었는데, 여기서 -w 옵션은 '파일을 통해 비밀번호를 알아낸다' 라는 기능을 가지고 있습니다. 즉, 저는 rockyou.txt라는 파일을 이용하여 비밀번호를 알아내었는데, 이 파일은 비밀번호를 해둘만한 단어 리스트가 저장된 파일입니다. ..

4팀 김소희 문제를 클릭하면 아래와같은 화면이 나온다. 파일을 다운받았더니 확장자가 없어서 HxD로 열어보았다. 블록처리된 부분을 검색했더니 jpg파일이었다. http://forensic-proof.com/archives/300 확장자를 jpg를 바꾼 후 열었더니 아래와 같은 사진이 나왔다. 사진을 자세히 보니 한 블럭에 두 글자씩 적힌 부분이 있어서 그 부분만 뽑아보았다. Zm xh Z3 tu IW Nl dH J5 fQ ZmxhZ3tuIWNldHJ5fQ 그 뒤 아래 사이트 Base64 부분에 넣었더니 플래그가 나왔다. https://www.rapidtables.com/ FLAG : flag{n!cetry}

4팀 김기연 BITCTF를 인코딩한 결과, QklUQ1RG라는 것을 알았다. HxD에서 QklUQ1RG를 검색한 결과, 동일한 문자열을 찾을 수 있었다. 시그니처는 모두 정상이었다. 옆 부분까지 다 복사해서 디코딩한 결과, 플래그를 얻을 수 있었다. 추가로 strings로 확인해본 결과, UQklUQ1RGe1M1IDAwMTQrODF9 이런 문자열을 찾을 수 있었는데 디코딩 오류가 발생했다. BITCTF를 인코딩해보고, 어디부터가 플래그 형식에 해당되는 문자열인지 알아야 했다. https://incoherency.co.uk/image-steganography/#unhide Image Steganography Each channel (red, green, blue) of each pixel in an ima..

2팀 김민주 문제는 다음과 같다. 우선 문제에서 제공된 flag 파일을 HxD로 열어보았다. 그러나 해당 화면에서는 알 수 있는 것이 없어서 첫 부분인 1F 8B 08을 구글링 했더니 '파일 시그니처'라는 개념이 나왔다. 찾아보니 1F 8B 08은 GZ라는 확장자를 가진 파일이라는 뜻이었다. 따라서 flag 파일 뒤에 .gz를 붙여주었더니 다음과 같이 파일이 바뀌었다. 해당 파일 압축을 풀고 메모장으로 열었더니 키 값이 나왔다. 해당 값을 입력하여 문제를 풀었다.

6팀 장지은 [CTF-D] Multimedia파트의 '조수의 차이만큼 하얗습니다! :D'를 풀어보도록 하겠습니다. 문제를 보겠습니다. 파일을 다운받아 열어보겠습니다. 아무것도 없습니다. 아래 사이트를 통해 알아보겠습니다. (사이트 : https://29a.ch/photo-forensics/#forensic-magnifier) 지난 문제와 동일하게 오르쪽 탭들을 눌러보니 Principal Component Analysis 탭에서 바로 플래그를 찾을 수 있었습니다. true_steganographers_doesnt_need_any_tools 을 입력하겠습니다. 성공~